Le spécialiste de la cybersécurité Checkmarx a dévoilé aujourd’hui une vulnérabilité de sécurité, CVE-2019-2234, qui affecte les applications de contrôle de la caméra, comme Google Camera et Samsung Camera, et sans doute les applications de nombreux autres fabricants d’appareils Android.
En manipulant certaines actions et intentions, un attaquant peut prendre le contrôle de l’application en charge de prendre des photos et d’enregistrer des vidéos, par l’intermédiaire d’une application pirate qui n’a pas permission de le faire.
Dans certains scénarios, l’attaquant peut également passer outre les autorisations sur le stockage pour obtenir un accès illicite aux photos et vidéos.
Une menace d’autant plus grande pour la vie privée que la plupart des fichiers multimédias incorporent des métadonnées de géolocalisation GPS, ainsi que certaines données EXIF qui facilitent la localisation du propriétaire de l’ordiphone.
Enfin, les chercheurs ont même réussi à prendre des photos et enregistrer des vidéos – et donc aussi de l’audio, même quand l’appareil est bloqué ou quand l’écran est éteint.
Un des problèmes fondamentaux d’Android est que les permissions sont souvent très vagues, comme les autorisations d’accès au stockage, ce qui facilite les exploitations illicites*.
Checkmark a divulgué en secret ses découvertes à l’équipe de sécurité d’Android chez Google début juillet. Google a confirmé les vulnérabilités, leur a attribué une sévérité modérée puis haute, puis confirmé qu’elles affectent les applications d’autres fabricants d’ordiphones Android.
La divulgation publique des vulnérabilités a été approuvée par Google et Samsung, après qu’ils ont développé un correctif de sécurité.
Google a mis à disposition de ses clients comme des autres fabricants un correctif de sécurité en juillet.
Les personnes qui ont mis à jour leur application de caméra après juillet 2019 sont donc normalement hors de danger.
Pour les personnes intéressées, Checkmark offre un rapport détaillé de ses découvertes en échange du remplissage d’un formulaire.
* Dans le même ordre d’idées, il est incroyable que le seul choix offert à l’utilisateur soit de partager son carnet d’adresses ou non, et que cela ne semble en aucun cas intéresser les agences de protection des données. Il est impossible de n’en partager qu’une portion ou une catégorie, ce qui serait bien plus satisfaisant. A minima, les contacts professionnels et les contacts personnels.